WhatsApp è accusata di non aver “assolto agli obblighi di trasparenza”, e pertanto di non aver fornito sufficienti informazioni agli utenti circa l’utilizzo dei dati raccolti.

WhatsApp viola le leggi europee sulla privacy: multa record da 225 milioni

Dopo la multa record di 746 milioni di euro nei confronti di Amazon, imposta dall’autorità Privacy del Lussemburgo, è il turno di WhatsApp. La Commissione per la protezione dei dati (DPC) irlandese, infatti, ha multato l’azienda per 225 milioni di euro per aver violato le leggi sulla privacy; in particolare, WhatsApp è accusata di non aver “assolto agli obblighi di trasparenza”, e pertanto di non aver fornito sufficienti informazioni agli utenti circa l’utilizzo dei dati raccolti.

Si tratta di un markup significativo rispetto alla multa inizialmente proposta dalla DPC, dell’importo di circa 50 milioni di euro, poi rivista a rialzo a seguito di richieste e pressioni da parte degli enti regolatori europei; un segnale duro volto ad assicurarsi che l’azienda intraprenda “azioni correttive” quanto prima, al fine di tutelare i dati dei suoi utenti.

L’indagine

Il DPC, che agisce come autorità di vigilanza principale per WhatsApp in tutta Europa, aveva lanciato un’indagine nel 2018, a seguito di approvazione di nuove leggi sulla privacy.  

L’indagine era volta ad esaminare la compliance di WhatsApp con i propri obblighi ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) per quanto riguarda la fornitura di informazioni e la trasparenza di tali informazioni sia agli utenti che ai non utenti dei servizi di WhatsApp. Ciò naturalmente riguardava anche la trasparenza delle informazioni fornite agli utenti sul trattamento dei loro dati tra WhatsApp e altre società di Facebook.

Dopo aver concluso la propria indagine a dicembre dello scorso anno, il DPC aveva trasmesso la bozza della propria decisione agli altri regolatori di dati europei per l’esame, in conformità con il GDPR. Tuttavia, otto di circa 40 di queste autorità manifestavano disaccordo con la bozza di conclusioni, compresa la multa proposta dal DPC, dell’importo di circa 50 milioni di euro.

Poiché il DPC non è stato in grado di raggiungere un consenso con gli altri regolatori, il caso è stato deferito al Comitato Europeo per la Protezione dei Dati (EDPB) con sentenza vincolante emessa alla fine di luglio con la quale richiedeva un aumento dell’importo della multa. Il DPC ha così effettuato una rideterminazione dell’importo precedentemente deciso. 

La replica

Il colosso americano ha replicato di voler proporre appello, ritenendo la sanzione estremamente sproporzionata. In una nota ha sostenuto che “si impegna a servire un servizio sicuro e privato”, lavorando sempre con attenzione per garantire informazioni trasparenti e complete.

La situazione italiana

In Italia è ancora aperta la questione relativa alla modifica e aggiornamento dei termini di servizio e dell’informativa privacy per il 2021, che andava accettata entro il 15 maggio 2021. Il garante della privacy italiano, infatti, aveva ritenuto l’informativa “poco chiara” e aveva sollevato, insieme al garante tedesco, notevoli dubbi tramite una nota portata all’attenzione dell’EDPB, riservandosi di intervenire d’urgenza.

Il Garante della privacy era intervenuto già pochi giorni dopo l’invio delle notifiche sui nuovi termini e privacy policy di WhatsApp, segnalando che “il messaggio con il quale WhatsApp ha avvertito i propri utenti degli aggiornamenti che verranno apportati, dall’8 febbraio, nei termini di servizio – in particolare riguardo alla condivisione dei dati con altre società del gruppo – e la stessa informativa sul trattamento che verrà fatto dei loro dati personali, sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy”.

La società era intervenuta chiarendo che le modifiche annunciate non riguarderebbero gli utenti dell’Unione Europea; nonostante ciò, la questione rimane aperta, dato che, secondo il Garante, non è possibile capire con certezza le modifiche introdotte, e neanche comprendere quali trattamenti di dati verranno effettuati concretamente a seguito del cambio di policy.

Autore: Avv. Martina Manfredi

Potrebbe Interessarti